繁体 English 中英

FIDO2 / WebAuthn 在身份验证时对环境/预授权用户进行启发式发现

[英]FIDO2 / WebAuthn Heuristic discovery of ambient /pre-authorized user(s) at authentication time

原文 2022-08-15 06:32:27 4 1 javascript/ authentication/ safari/ webauthn/ fido

UA 凭证安全询问。

设想：

Tri-Bank 有 1 个或多个此设备的注册用户（My Windows Hello PC “Bad Boy”）。
RP（子）域没有活动的 session 或环境用户。 （看到本地/会话存储已弃用，但所有 cookies 也已过期）
我根本看不到无用户名登录交互的可能性
我将调查 UPVA 在多用户设备上是确定性的，但该规范不仅不规范，而且似乎在仙境中不适用：-(

写： -

身份验证 WebAuthn-3和身份验证 WebAuthn-2

请扩展point.2

该脚本要求客户端提供身份验证断言，提供尽可能多的信息来缩小用户可接受凭据的选择范围。 这可以从注册后存储在本地的数据中获取，也可以通过其他方式（例如提示用户输入用户名）获取。

我们可以参考哪个规范（CTAP-10？），它将启发我们了解返回给带有空“allowCredentials”的 GET 调用的内容？

RP 如何在没有识别单个用户或返回新错误（“非确定性”）的 .GET 的情况下细化用户选择粒度？

没有其他人认为这是 pivitol 吗？

如果我们总是要询问用户名，请说“我们总是必须先识别用户名！”

否则会提示用户我们有 Ringo，并且 Paul 已注册； 你想要哪一个：-（

是的，我知道保罗没有拇指就无法登录林戈的帐户。 我指的是不可接受地向保罗披露林戈的财务活动。 除非是约翰，否则可能没什么大不了的:-)

请在此处解释 FIDO2 与 OAUTH2.0 哲学转移的优缺点！

OAUTH2.0:- 你想继续 dicky@gmail.com 吗？ 完成，没有密码，生物识别，PIN，等等，等等，等等：预认证和受信任的 FIDO2 :- 我有一个 UPVA，我可能需要对你进行测试，或者为许多用户提供一些身份验证方法我会让你从中挑选

听起来对吗？？？

1 个解决方案

让我们将这个问题分解为三个不同的部分：需要用户名、无用户名登录和共享帐户

需要用户名

使用标识符是缩小身份验证器可接受的身份验证器 session 的唯一方法。 注意标识符的使用。 该规范调用了用户名，因为它非常常见，并且用户熟悉，但如果您的环境/要求允许，可以使用另一种机制作为标识符。

另请记住，此流程适用于使用不支持可发现凭据的身份验证器或生态系统的用户。

如果您希望查看一些扩展的代码示例，我会在此处提供一些开发指南。

如果您使用的是共享 Windows Hello 帐户，这不会完全解决您的问题。 John 所要做的就是输入标识符“Paul”，输入 PIN/指纹，然后就可以访问了。 总体而言，您不想共享身份验证器，但我将在此评论的后面部分谈到这一点。

无用户名登录

请记住，此登录流程仅适用于支持可发现凭据的生态系统中的用户。 你提到了 Windows 你好，所以你很好。 在此流程中，依赖方发送一个空的 allowCredentials 列表，因为它不知道是谁在触发身份验证 session。 依赖方本质上是在说“发送凭证，我会尝试验证它”。 此声明有更多细微差别，尤其取决于您使用的身份提供者，但这是总体要点。

根据您使用的是安全密钥还是平台身份验证器，可以进一步细分无用户名。 但是在 GET() 仪式期间，所有与您当前来源相关的凭据都将根据您激活的身份验证器显示。 因此，如果您将指纹输入 Windows Hello，将显示绑定到单个 Windows Hello 帐户的当前来源的所有凭据。 如果您激活安全密钥，设备上当前来源的所有凭据都将显示在设备上。

共享帐户/工作站

所以我们将继续上面的披头士乐队的例子。 他们都可以共享一台计算机，但是您需要质疑他们是否应该共享同一个 Windows Hello 帐户。 如果您使用 Windows Hello 身份验证器注册凭据，那么任何拥有该帐户的 PIN/指纹的人都可以利用帐户 + 设备组合上的凭据。

归根结底，这将取决于与您的工作站绑定的帐户数量。

如果您坚持甲壳虫乐队在一个工作站上共享一个 Windows Hello 帐户，那么他们可能需要单独的个人身份验证器，例如安全密钥。 这样无论谁在使用共享帐户，他们仍然拥有独立的凭据（除非 Ringo 决定注册 Windows Hello，而不是他的安全密钥）

否则，如果每个披头士乐队都有自己的 Windows Hello 帐户，他们可以在其中一个小伙子需要检查他们的银行帐户时注销/登录。 在这种情况下，他们只会看到与其特定 Windows Hello 帐户相关联的凭据

希望这可以帮助

带有if语句的python fido2服务器

[英]python fido2 server with if statement

如何在移动设备上通过 WebAuthn 使用 FIDO 凭据

[英]How to use FIDO credentials with WebAuthn on mobile

FIDO2 跨设备无缝登录 - 密钥

[英]FIDO2 seamless sign-in across devices - Passkeys

webauthn 认证 javascript 格式化帮助

[英]webauthn authentication javascript formatting assistance

使用 Yubikey 进行 WebAuthn 身份验证 API 的异常

[英]Exception from WebAuthn Authentication API with Yubikey

如何创建类似于WebAuthN的ArrayBuffer的JavaScript ArrayBuffer？

[英]How to create an JavaScript ArrayBuffer, that is similar to the WebAuthN's ArrayBuffer?

如何确定设备是否可以使用 Javascript 中的 Webauthn 指纹登录？

[英]How to decide if a device can login with Webauthn's fingerprint in Javascript?

如何使用 nodejs 和 jsonwebtoken 后端授权 vuejs 身份验证？

[英]How authorized vuejs authentication with nodejs and jsonwebtoken backend?

使用Firebase身份验证时，“未授权此域”

[英]“This domain is not authorized” when using Firebase Authentication

检查用户是否在Orchard CMS中获得授权

[英]Checking if user authorized in Orchard CMS

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 带有if语句的python fido2服务器如何在移动设备上通过 WebAuthn 使用 FIDO 凭据 FIDO2 跨设备无缝登录 - 密钥 webauthn 认证 javascript 格式化帮助使用 Yubikey 进行 WebAuthn 身份验证 API 的异常如何创建类似于WebAuthN的ArrayBuffer的JavaScript ArrayBuffer？如何确定设备是否可以使用 Javascript 中的 Webauthn 指纹登录？如何使用 nodejs 和 jsonwebtoken 后端授权 vuejs 身份验证？使用Firebase身份验证时，“未授权此域” 检查用户是否在Orchard CMS中获得授权

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM